2025 fue un año clave para la ciberseguridad. Estuvo marcado por ciberataques de alto impacto, filtraciones masivas de datos, grupos de amenazas que alcanzaron una notoriedad sin precedentes y vulnerabilidades de día cero explotadas en ataques reales.
Desde TecnetOne, seguimos de cerca estos incidentes porque reflejan los riesgos reales a los que hoy se enfrentan empresas de todos los tamaños y sectores. Algunos casos pasaron relativamente desapercibidos, pero otros captaron la atención de organizaciones, equipos de TI y responsables de seguridad por su alcance y consecuencias.
En este artículo repasamos los temas de ciberseguridad que destacaron especialmente en 2025, junto con un resumen claro y directo de cada uno. No siguen un orden específico, pero todos comparten algo en común: dejaron lecciones clave sobre cómo evolucionan las amenazas digitales y por qué contar con una estrategia de ciberseguridad sólida ya no es opcional.
1. Ataques impulsados por inteligencia artificial
Si hubo una tendencia que marcó un antes y un después en 2025, fue el uso de inteligencia artificial (IA) por parte de los atacantes. Lo que antes era experimental pasó a convertirse en una herramienta habitual para automatizar intrusiones, crear malware más adaptable y escalar ataques a gran velocidad.
Los grupos de amenazas comenzaron a apoyarse en modelos de lenguaje avanzados para escribir código malicioso, mejorar técnicas de evasión y optimizar cada fase del ataque. El resultado fue un aumento notable en la velocidad y volumen de las campañas maliciosas.
Se detectaron nuevas familias de malware capaces de adaptar su comportamiento según el entorno de la víctima, lo que les permitió pasar desapercibidas durante más tiempo. También salieron a la luz ataques masivos que demostraron cómo la IA puede utilizarse para automatizar tareas como el reconocimiento de objetivos y el robo de credenciales a gran escala.
Incluso aparecieron pruebas de concepto de ransomware que usaban IA para asistir en el cifrado de archivos, la exfiltración de datos y la ejecución de ataques complejos con menos intervención humana.
Pero la IA no solo se utilizó para crear malware. También comenzó a emplearse para acelerar la explotación de vulnerabilidades, reduciendo drásticamente el tiempo y el conocimiento técnico necesarios para lanzar un ataque. Herramientas automatizadas permitieron analizar fallas conocidas y explotarlas en cuestión de minutos.
Para finales de 2025, el mensaje era evidente: la IA dejó de ser una promesa futura para los atacantes y se convirtió en un acelerador real del cibercrimen, bajando la barrera de entrada y haciendo que los ataques sean más rápidos, más inteligentes y más difíciles de detener.
2. Ataques de día cero: la puerta de entrada perfecta
En 2025, las vulnerabilidades de día cero siguieron siendo una de las herramientas favoritas de los atacantes para infiltrarse en redes corporativas. Este tipo de fallas, que se explotan antes de que exista un parche, fueron clave en campañas de robo de información, espionaje digital y ataques de ransomware.
Los principales objetivos fueron los dispositivos de borde de red y los servicios expuestos a Internet, ya que actúan como la primera línea entre el mundo exterior y las redes internas de las empresas. Cuando estos sistemas fallan, el acceso suele ser directo y silencioso.
Durante el año se explotaron activamente vulnerabilidades de día cero en tecnologías ampliamente utilizadas, como firewalls, gateways VPN y plataformas de acceso remoto. También se vieron afectados servicios empresariales críticos, lo que permitió a los atacantes instalar puertas traseras, robar datos sensibles y mantenerse dentro de las redes durante largos períodos sin ser detectados.
Uno de los casos más relevantes fue el de Microsoft SharePoint, que se convirtió en un objetivo prioritario. Una de sus vulnerabilidades más explotadas permitió a distintos actores de amenazas (incluidos grupos de ransomware) desplegar shells web, extraer información confidencial y asegurar persistencia dentro de entornos corporativos.
Además, el sistema operativo Windows volvió a estar en la mira, con fallas explotadas en componentes tan cotidianos como accesos directos y servicios de registro. Incluso herramientas populares de uso diario, como compresores de archivos, fueron utilizadas como vector de ataque a través de campañas de phishing diseñadas para eludir los controles de seguridad.
La conclusión fue clara: cualquier software expuesto puede convertirse en un punto de entrada si no se gestiona correctamente.
3. Ataques de robo de datos vinculados a Salesforce
En 2025, Salesforce se convirtió en un blanco recurrente de campañas de robo de datos y extorsión, no por fallas directas en la plataforma, sino por cuentas comprometidas, tokens OAuth robados y aplicaciones SaaS integradas. Gran parte de los incidentes se vinculó al grupo ShinyHunters, que atacó empresas de múltiples sectores y presionó a las víctimas desde su propio sitio de filtración de datos.
Sitio de filtraciones de ShinyHunters
El vector principal fue la cadena de suministro digital: los atacantes comprometieron herramientas SaaS conectadas a Salesforce, robaron credenciales y tokens, y accedieron a múltiples entornos, afectando incluso a grandes compañías tecnológicas y de ciberseguridad. La lección fue clara: proteger un entorno SaaS implica mucho más que asegurar la plataforma central; requiere controlar accesos, revisar integraciones y supervisar de cerca a todos los proveedores externos.
Podría interesarte leer: Cómo Protegerte de Ciberataques en 2026: Guía práctica para Empresas
4. Inyección de prompts: una nueva amenaza para la inteligencia artificial
A medida que la inteligencia artificial se integró en casi todas las herramientas de productividad, navegadores y entornos de desarrollo durante 2025, surgió una nueva categoría de ataques que sorprendió incluso a los expertos: la inyección de prompts.
A diferencia de las vulnerabilidades tradicionales, este tipo de ataque no explota fallas en el código. En su lugar, se aprovecha de cómo los modelos de IA interpretan las instrucciones. Mediante entradas cuidadosamente diseñadas (a veces visibles, otras completamente ocultas) los atacantes logran alterar el comportamiento de la IA, saltarse sus controles de seguridad o forzarla a realizar acciones no deseadas.
Durante 2025 se documentaron varios casos de alto impacto que demostraron el alcance real del problema. Se descubrieron fugas de información sin interacción del usuario en asistentes de productividad, vulnerabilidades en resúmenes automáticos de correos e invitaciones de calendario que facilitaron ataques de phishing, y manipulaciones de asistentes de programación que terminaban sugiriendo o ejecutando código malicioso.
Incluso se detectaron ataques más sofisticados que ocultaban instrucciones dentro de imágenes aparentemente inofensivas. Aunque invisibles para el ojo humano, estos mensajes eran perfectamente interpretados por los sistemas de IA, abriendo un nuevo frente en la seguridad de modelos inteligentes.
El mensaje fue claro: la IA no solo necesita ser potente, también segura, y 2025 dejó en evidencia que proteger estos sistemas será uno de los grandes desafíos de los próximos años.
5. Los ataques DDoS alcanzan niveles nunca vistos
En 2025, los ataques de denegación de servicio distribuido (DDoS) rompieron todos los récords conocidos. Organizaciones de todo el mundo fueron blanco de ofensivas cada vez más potentes, capaces de dejar fuera de línea servicios críticos en cuestión de minutos.
Durante el año se registraron múltiples ataques de gran escala que demostraron hasta dónde ha llegado la “potencia de fuego” de estas campañas. Algunos alcanzaron picos de varios terabits por segundo, superando ampliamente lo que, hasta hace poco, se consideraba un ataque extremo.
Gran parte de este crecimiento se atribuye a Aisuru, una botnet que emergió como una de las principales responsables detrás de los mayores ataques DDoS jamás registrados. En uno de los casos más destacados, se utilizaron cientos de miles de direcciones IP para saturar infraestructuras en la nube de gran escala, dejando claro que incluso los entornos más robustos pueden ser puestos a prueba.
Ante este escenario, las autoridades internacionales comenzaron a tomar medidas más firmes. En los últimos dos años, y especialmente durante 2025, se llevaron a cabo operativos coordinados para desmantelar servicios de DDoS “por encargo”, con arrestos de los administradores que operaban estas plataformas criminales. Un paso importante, aunque insuficiente frente a una amenaza que sigue creciendo.
Gráfico del ataque récord de Aisuru Fuente: Cloudflare
Conoce más sobre: Ataque DDoS de 29,7 Tbps con Botnet Aisuru: Nuevo Récord Mundial
6. ClickFix: la ingeniería social que hizo caer a miles de usuarios
Otro de los grandes protagonistas de 2025 fueron los ataques de ingeniería social conocidos como ClickFix. Esta técnica fue adoptada rápidamente por distintos actores maliciosos, desde grupos patrocinados por estados hasta bandas de ransomware.
Lo que empezó como una campaña dirigida a Windows no tardó en expandirse a macOS y Linux, infectando equipos con ladrones de información, accesos remotos no autorizados y otros tipos de malware.
El método es tan simple como efectivo. Las víctimas llegan a una página web que simula un problema técnico: un error del sistema, una falsa alerta de seguridad, un CAPTCHA sospechoso o una supuesta actualización pendiente. La “solución” parece legítima, pero en realidad pide al usuario que ejecute comandos en PowerShell o en la terminal.
Ataque ClickFix que muestra una pantalla falsa de Windows Update
Al seguir las instrucciones, el propio usuario termina instalando el malware sin saberlo. Estas campañas se apoyaron en todo tipo de señuelos creíbles: pantallas falsas de Windows Update, videos engañosos de activación de software en TikTok o CAPTCHAs falsos con instrucciones paso a paso. El resultado fue claro: miles de equipos comprometidos por confiar en lo que parecía una acción rutinaria.
Una vez más, 2025 dejó una enseñanza fundamental: el eslabón más débil sigue siendo el factor humano, y la concientización de usuarios es tan importante como cualquier solución tecnológica.
7. El ataque de ransomware a Ingram Micro
En 2025, Ingram Micro, uno de los mayores distribuidores de tecnología a nivel mundial, sufrió un ataque de ransomware que provocó una interrupción repentina de sus sistemas. Su sitio web y la plataforma de pedidos en línea dejaron de funcionar sin previo aviso, afectando a miles de empresas que dependen de sus servicios.
Con el paso de las horas se confirmó que el incidente estaba relacionado con SafePay, una de las bandas de ransomware más activas del año. El ataque comenzó de forma súbita y varios trabajadores encontraron notas de rescate en sus dispositivos, lo que llevó a la compañía a desconectar sistemas internos como medida de contención.
Aunque los atacantes afirmaron haber robado información, este tipo de mensajes suele formar parte de su estrategia de presión. Hasta el momento, no hay confirmación pública de una filtración masiva de datos ni de la magnitud real del cifrado.
El caso de Ingram Micro dejó en evidencia un punto crítico: cuando una empresa clave en la cadena de suministro tecnológica es atacada, el impacto se extiende mucho más allá de la organización afectada.
8. El hackeo a la Policía Municipal de Hermosillo
Uno de los incidentes más delicados del año ocurrió en Hermosillo, Sonora, tras el hackeo a la Policía Municipal, atribuido al grupo Chronus Team. El ataque generó gran preocupación por la filtración masiva de información sensible relacionada con más de 1,200 agentes municipales.
El incidente salió a la luz cuando comenzó a circular un archivo de 738 MB que contenía datos personales, fotografías, información sobre armamento y detalles de la estructura operativa de la corporación. Aunque parte de la información podría no ser reciente, su exposición pública representa un riesgo real para la seguridad de los agentes y de la institución.
Por el volumen y la sensibilidad de los datos comprometidos, este ataque se convirtió en uno de los ciberincidentes más relevantes contra infraestructura municipal en el último año. El caso dejó una lección clara para el sector público: la ciberseguridad ya no es opcional, y contar con estrategias de protección, monitoreo y respuesta ante incidentes es clave para evitar consecuencias mayores.
Conoce más sobre este incidente: Hackeo en Hermosillo: Chronus Team Filtra Datos de Policía Municipal
Conclusión: lecciones clave de los ciberataques de 2025
Los incidentes de ciberseguridad ocurridos en 2025 dejaron una realidad clara: ninguna organización está completamente a salvo. Empresas privadas, proveedores tecnológicos y entidades públicas fueron afectadas, demostrando que el impacto de un ciberataque no se limita a lo técnico, sino que también golpea la operación, la reputación y la confianza.
Uno de los aprendizajes más importantes fue la vulnerabilidad de la cadena de suministro digital. Ataques a proveedores y plataformas clave evidenciaron cómo una sola brecha puede afectar a múltiples organizaciones al mismo tiempo. A esto se suma el crecimiento del ransomware, la explotación de vulnerabilidades de día cero y técnicas de ingeniería social cada vez más efectivas.
También quedó claro que la prevención debe ir acompañada de detección y respuesta. No basta con tener herramientas de seguridad; es fundamental monitorear de forma continua, gestionar correctamente los accesos y preparar a los usuarios para reconocer amenazas antes de que sea demasiado tarde.
Desde TecnetOne, estos casos refuerzan la importancia de contar con una estrategia de ciberseguridad integral, que ayude a las empresas a reducir riesgos, responder con rapidez ante incidentes y proteger su información crítica de forma continua.